Administration Réseau Intérêt du NAT

Niveau routage (Network Address Translation)

• Possibilité d’utilisation d’adresses privées dans l’Intranet

Protocole de Transport
4 Transport • Tout en rendant possible l’accès à l’extérieur depuis et vers ces
Frontière du sous-réseau
machines
Réseau
• Au départ pour conçu pour économiser des adresses
2 Liaison
• Vue de l’extérieur: Plage d’adresse publique
1 Physique Physique
• Sécurité: Rend invisible la configuration d’un Intranet
• Va disparaître avec la généralisation de IPV6

© P. Sicard-Cours Réseaux Translation d’adresse NAT 1 © P. Sicard-Cours Réseaux Translation d’adresse NAT 2

Principe NAT Exemple d’Intranet

• On donne une adresse privée à chaque machine de l’Intranet
• On doit administrer un Intranet • Liste des adresses privées
• On possède une liste d’adresse publique qui nous a été attribué – 10.0.0.0 - 10.255.255.255 (10/8 prefix)
• Par exemple: 195.0.0.129/25 à 195.0.0.255/25 (réseau 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
195.0.0.128/25) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
• Il existe sur notre Intranet un routeur de sortie vers l’Internet qui va • Une des adresses publiques à l’interface de sortie du routeur
implémenter la translation d’adresse
Routeur NAT
Routeur NAT

195.0.0.254 10.0.0.3 10.0.0.2 10.0.0.1

Vers Internet Intranet

© P. Sicard-Cours Réseaux Translation d’adresse NAT 3 © P. Sicard-Cours Réseaux Translation d’adresse NAT 4
 NAT: principe NAT STATIQUE: principe
• Le routeur de sortie va modifier l’entête IP de tout paquet
provenant d’une machine interne en remplaçant l’adresse source IP • Une adresse publique associée à chaque adresse privée
privée par une adresse publique
• Plage d’adresse publique 195.0.0.248/29
• Vue de l’extérieur, le routeur se fait passer pour la machine source
• Deux types de NAT : statique et dynamique • Exemple d’associations Nat:
– Statique la correspondance @ Privée / @ publique est fixe – 10.0.0.1 195.0.0.249
– Dynamique : elle peut changer dans le temps – 10.0.0.2 195.0.0.250

Routeur NAT
Routeur NAT

Vers Internet Intranet

195.0.0.254 10.0.0.3 10.0.0.2 10.0.0.1
paquet @Source 195.0.0.129 paquet @IPSource 10.0.0.1

© P. Sicard-Cours Réseaux Translation d’adresse NAT 5 © P. Sicard-Cours Réseaux Translation d’adresse NAT 6

NAT STATIQUE: principe Intêret NAT STATIQUE: principe

• Problèmes et configuration du routage
– Il faut que le routeur se fasse passer pour l’ensemble des machines
d’adresses publiques au niveau des requêtes ARP du premier routeur • Intranet invisible depuis l’extérieur
extérieur • Administration en cas de changement de l’Intranet seulement sur
– Proxy ARP: le routeur NAT met dans sa table ARP son adresse Ethernet routeur
pour toutes les adresses publiques
• Economise des adresses en cas de découpage de l’Intranet en sous-
– Au retour d’un paquet dans le routeur NAT , il faut qu’il redirige le paquet réseaux (adresses perdues à cause du découpage)
vers la bonne machine de l’Intranet
• Mais on n’économise pas d’adresses publiques
– Il doit donc avoir dans sa table de routage
» 195.0.0.249 10.0.0.1 (netmask 255.255.255.255) • Pour cela il faut alors faire de la NAT dynamique
» Pour l’adresse 195.0.0.249 envoyer à 10.0.0.1

© P. Sicard-Cours Réseaux Translation d’adresse NAT 7 © P. Sicard-Cours Réseaux Translation d’adresse NAT 8
 NAT dynamique ou IP masquerading : L’association connexion/@privée
principe • Se fait au moment du premier paquet qui sort en se rappelant le
numéro de port source (mémorisation dans une table)
• Permet d’attribuer dynamiquement lors des connexions des
adresses IP publiques aux adresses privées
• L’adresse source des paquets devient l’adresse externe du routeur
• Problème : En cas de plusieurs connexions en parallèle comment le 195.0.0.254 10.0.0.2 10.0.0.1
routeur peut il diriger les paquets vers la bonne machine ? Vers Internet Intranet
Port source 2354 Port source 2354
Routeur NAT @Source 195.0.0.254 @IPSource 10.0.0.1

Port source 5555 Port source 5555

@Source 195.0.0.254 @IPSource 10.0.0.2
195.0.0.254 10.0.0.1
Vers Internet Intranet
Mémorisation dans la table NAT:
paquet @Source 195.0.0.254 paquet @IPSource 10.0.0.1
2354 10.0.0.1
5555 10.0.0.2
© P. Sicard-Cours Réseaux 8 Administration d’un Intranet 10
© P. Sicard-Cours Réseaux Translation d’adresse NAT 9

L’association connexion/@privée
Nat Dynamique
• Problème : si plusieurs connexions avec le même port source en
même temps ?
• Attribution d’un port source virtuel unique à chaque connexion
• Translation de port en plus • Une seule adresse publique suffit pour un nombre quelconque de
machines dans l’Intranet
195.0.0.254 10.0.0.2 10.0.0.1
• On ne peut pas initier une connexion depuis l’extérieur
Vers Internet Intranet
Port source 5000 Port source 2354
• Comment avoir un serveur WEB par exemple dans l’Intranet ?
@Source 195.0.0.254 @IPSource 10.0.0.1

Port source 5001 Port source 2354

@Source 195.0.0.254 @IPSource 10.0.0.2

Mémorisation dans la table NAT:

2354 10.0.0.1 5000
2354 10.0.0.2 5001
© P. Sicard-Cours Réseaux 8 Administration d’un Intranet 11 © P. Sicard-Cours Réseaux Translation d’adresse NAT 12
 Le port forwarding Problèmes NAT Dynamique
• Applications n’utilisant pas UDP/TCP
• Utiliser dans la NAT dynamique pour rendre une machine – Exemple ICMP
accessible depuis l’extérieur – Il faut faire une configuration spéciale du routeur pour lui dire de se référer à
autre chose que le port
• On mets en dur dans la table NAT du routeur
– Le numéro d’identifiant du paquet ICMP par exemple
– port fixe: port privée/ adresse privée
– Par exemple 21: 21/10.0.0.1 (port d’un serveur FTP)
• L’application FTP
– Les paquets arrivant de l’extérieur vers (195.0.0.254, 21) seront redirigés
vers (10.0.0.1, 21) – Rappel en mode actif:
– Problème si deux serveurs FTP sur 2 machines différentes ? » En cas d’une connexion sur un serveur extérieur
» La connexion pour les données est initiée depuis le serveur
• Le “port mapping” consiste à changer de port sur la machine – Il ne peut être utilisé qu’en mode passif dans lequel toutes les connexions sont
interne initiées depuis le client
– Par exemple : 80: 8080/10.0.0.1 – Les données de FTP contiennent des informations se rapportant aux adresses IP
– Un serveur http est lancé sur 10.0.0.1 sur le port 8080
– Plus de problème avec SFTP (une seule connexion initiée par le client)

© P. Sicard-Cours Réseaux Translation d’adresse NAT 13 © P. Sicard-Cours Réseaux Translation d’adresse NAT 14

Problèmes NAT Dynamique Combinaison NAT Statique et Dynamique

• Authentification et cryptage:
– Pas de mécanisme d’authentification de bout en bout puisque le
paquet est modifié • Statique:

– Encryptage de l’entête IP à la source et vérification à l’arrivée – Intéressant si certaines machines de l’Intranet doivent être
– Possibilité de tunneling (mise en place de Tunnel IPSEC vers visibles depuis l’extérieur (serveur WEB ...)
l’extérieur)
• Dynamique:
• Le routeur a du travail supplémentaire
– re calcul des checksums IP TCP et UDP – Economie d’adresse
– modification des données FTP... (fait par proxy) – Sécurité
– limitation de la bande passante si le routeur n’est pas assez puissant

• Argument des opposants au NAT: non indépendance des couches

© P. Sicard-Cours Réseaux Translation d’adresse NAT 15 © P. Sicard-Cours Réseaux Translation d’adresse NAT 16
 Exercice sur NAT Exercice sur NAT
(Network Address Translation)
NAT STATIQUE/DYNAMIQUE:
NAT STATIQUE:
• On utilise de la NAT dynamique pour l’ensemble des machines de
• Donnez un plan d’adressage pour l’Intranet donné dans le l’Intranet
transparent suivant avec des adresses privées
• On veut mettre sur la machine servant de serveur de fichier SF1 un
• Donnez les tables de routage des routeurs et des machines pour que serveur WEB et un serveur SFTP accessibles depuis l’extérieur
l’ensemble des machines de l’Intranet puissent communiquer avec
l’extérieur (Internet) • Combien d’adresse publique est il nécessaire de posséder ?

• Donnez la table ARP du routeur de sortie • Donnez les tables de routage des routeurs et des machines pour que
l’ensemble des machines de l’Intranet puissent communiquer avec
l’extérieur (Internet)

© P. Sicard-Cours Réseaux Translation d’adresse NAT 17 © P. Sicard-Cours Réseaux Translation d’adresse NAT 18

INTRANET
Exercice sur NAT
CADRES ADMINISTRATIFS

NAT STATIQUE/DYNAMIQUE:
Switch
Switch • On ne veut pas utiliser de NAT statique

R2 • Comment configurer le routeur de sortie (table NAT) pour que les

R3 serveurs WEB et Sftp sur SF1 soient accessibles depuis
l’extérieur ?
INTERNET R1
Switch Switch

R4

SF1 SF2 ATELIERS

© P. Sicard-Cours Réseaux Translation d’adresse NAT 19 © P. Sicard-Cours Réseaux Translation d’adresse NAT 20
Exercice sur NAT STATIQUE/DYNAMIQUE Exercice sur NAT
(Network Address Translation)
• On utilise de la NAT dynamique pour l’ensemble des machines de
Atelier et Administratif
• On veut utiliser de la NAT statique pour les machines “cadres” • NAT STATIQUE/DYNAMIQUE:
• On veut mettre sur la machine servant de serveur de fichier SF1 un
serveur WEB et un serveur SFTP accessibles depuis l’extérieur • Mettre dans le cas de la configuration précédente les filtres
nécessaires sur le routeur de sortie pour que les ateliers et
• Combien d’adresse publique est il nécessaire de posséder ? administratif ne puissent pas accéder à l’Internet
• Donnez les tables de routage des routeurs et des machines pour que
l’ensemble des machines “cadres” puissent communiquer avec • Même question si l’on veut “bloquer” toute communication des
l’extérieur (Internet) cadres avec Internet sauf serveur WEB et serveur ssh ?
• Peux t-on accéder aux machines administratif et atelier depuis
Internet ?
– Et dans l’autre sens ?

© P. Sicard-Cours Réseaux Translation d’adresse NAT 21 © P. Sicard-Cours Réseaux Translation d’adresse NAT 22